Exportieren (0) Drucken
Alle erweitern

ACS-Leistungsrichtlinien

Letzte Aktualisierung: März 2015

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

  • Windows Identity Foundation (WIF)

Dieses Thema stellt wichtige Leistungsüberlegungen, die Sie beim Entwickeln von Anwendungen und Services, die ACS verwenden, berücksichtigen sollten, im Umriss vor. Im Besonderen behandelt das Thema Leitlinien zu Token große und Kryptografie und deren Einfluss auf die Gesamtleistung.

Ganz allgemein sind die Schlüsselattribute von Leistung Antwortzeit, Durchsatz und Ressourcenauslastung. Wenn die Anwendung beispielsweise nur über eingeschränkte Ressourcen, wie etwa Arbeitsspeicher, verfügt, besteht die Gefahr, dass ein Teil der Informationen vom Dateisystem aufgefangen werden muss, das sehr viel langsamer als speicherinterne Vorgänge arbeitet – dies wirkt sich auf die Gesamtreaktionszeit aus. Hier ein weiteres Beispiel – wenn die Anwendung große Datenmengen über ein Netzwerk mit eingeschränkter Bandbreite sendet, führt das zu langsameren Reaktionszeiten als erwünscht. Ein Ansatz zum Beheben von Leistungsproblemen besteht im Hinzufügen weiterer Ressourcen, wie etwa Netzwerkbandbreite, schnellerer CPUs und mehr Arbeitsspeicher. Dieser Ansatz kann helfen, ist aber nicht immer erfolgreich. Ein anderer Ansatz besteht darin, den Code zu verbessern, sodass er weniger Ressourcen beansprucht und weniger Daten austauscht. Im Kontext von Ansprüche unterstützenden Anwendungen und angesichts dessen, was in der Hand der Entwickler liegt, gibt es eine Reihe von Schlüsselfaktoren bei der Verwendung von ACS, die sich auf die Leistung auswirken, insbesondere Token und kryptografische Vorgänge im Zusammenhang mit den Token.

  • Definieren der Aspekte, die sich auf die Leistung in Anwendungen, die ACS verwenden, auswirken.

  • Bereitstellen von Leitlinien zur Verbesserung der Leistung für jeden dieser Aspekte.

Tokengröße und Verschlüsselung sind Kernfaktoren, die in der Hand des Entwicklers liegen und sich auf die Leistung von Anwendungen, die mit ACS integriert sind, auswirken.

  • Tokengröße Die Tokengröße wirkt sich in zweierlei Hinsicht auf die Leistung aus. Erstens wirkt sie sich im Hinblick auf die Netzwerkbandbreite bis zu einem gewissen Grad direkt auf die Leistung aus. Je größer das Token ist, desto mehr Netzwerkbandbreite beansprucht es, was zu einer langsameren Gesamtreaktion führt. Zweitens, je größer das Token ist, desto mehr CPU-Zyklen sind zum Überprüfen seiner Integrität und zum Extrahieren der Ansprüche im Token erforderlich. Die Tokenverarbeitung beinhaltet die Analyse des Tokens und seine Deserialisierung in das binäre Format, sodass Ihr Code es verwenden kann, ferner umfasst die Verarbeitung auch verschiedene Kryptografievorgänge, wie etwa die Signaturüberprüfung, und optional die Entschlüsselung. Je größer das Token ist, desto mehr CPU-Zyklen sind zu seiner Verarbeitung erforderlich, was zu höherer Ressourcenauslastung und langsamerer Gesamtreaktion führt. Die Tokengröße hängt von verschiedenen Faktoren ab: Tokenformat, auf das Token angewendete Kryptografie und die im Token enthaltenen Ansprüche. ACS unterstützt SAML-, SWT- und JWT-Token. Im allgemeinen ist ein SWT- oder ein JWT-Token kleiner als ein SAML-Token, das eine vergleichbare Menge an Informationen enthält. Weitere Informationen finden Sie unter In ACS unterstützte Tokenformate. Allerdings lauern hier Fallstricke, denn verschiedene Tokenformate sind für verschiedene Protokolle und Anwendungsarchitekturen optimiert.

    • SWT-Token werden über WS-Verbund-, WS-Trust- und OAuth-WRAP- oder OAuth 2.0-Protokolle ausgegeben. Dies bedeutet, dass SWT-Token in Webanwendungen, WCF-Services (SOAP) und WCF-Services (REST) verwendet werden können. WIF unterstützt den SWT-Tokenhandler nicht.

    • SAML-Token werden über WS-Trust- und WS-Verbundprotokolle ausgegeben. Dies bedeutet, dass SWT-Token in Webanwendungen und WCF-Services (SOAP) verwendet werden können. WIF unterstützt sowohl SAML 2.0- als auch SAML 1.1-Token. Weitere Informationen zu WIF finden Sie im folgenden Thema Windows Identity Foundation

    • JWT-Token werden über WS-Verbund-, WS-Trust- und OAuth 2.0-Protokolle ausgegeben. Dies bedeutet, dass SWT-Token in Webanwendungen, WCF-Services (SOAP) und WCF-Services (REST) verwendet werden können.

    Ein Faktor, der sich am stärksten auf die Tokengröße auswirkt, sind die im Token enthaltenen Ansprüche. Je mehr Ansprüche das Token enthält, desto größer ist es. In den meisten Fällen unterliegen die Ansprüche, die zu einem Token gehören, der Kontrolle des Entwicklers. Die von einer Anwendung verwendeten Ansprüche werden vom STS (Security Token Service) wie bei AD FS oder ACS hinzugefügt, entfernt oder geändert. ACS verwendet Regelgruppen und Regeln, um Ansprüche in einem Token hinzuzufügen, zu entfernen oder zu ändern. Weitere Informationen finden Sie unter Regelgruppen und Regeln.

  • Verschlüsselung. Verschlüsselung und andere kryptografische Vorgänge, wie etwa Signieren, Signaturprüfung und Entschlüsselung, wirken sich direkt auf die Leistung aus. Kryptografievorgänge verbrauchen aufgrund der beteiligten komplexen Algorithmen Rechenleistung. ACS signiert als Integrität sichernde Maßnahme alle ausgestellten Token, um Manipulationen vorzubeugen. Die Signaturprüfung von Token ist nicht optional. Die Verschlüsselung von Token ist erforderlich, wenn die Anwendung der vertrauenden Seite ein Webdienst ist, der nicht SSL zur Verschlüsselung der Kommunikation verwendet. WCF-basierte Dienste, die SOAP verwenden, erfordern verschlüsselte Eigentumsnachweistoken in Verbindung mit dem WS-Trust-Protokoll. Tokenverschlüsselung ist erforderlich, um sensible Informationen bei der Übertragung über nicht verschlüsselte Kanäle zu schützen. In Fällen, bei denen ein verschlüsselter Kommunikationskanal zum Einsatz kommt, etwa bei SSL-Verschlüsselung, ist die Verwendung von Tokenverschlüsselung optional und kann im Sinne höherer Leistung als entbehrlich angesehen werden.

Siehe auch

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft